エクスポージャー管理

エクスポージャー管理とは何か？

エクスポージャー管理とは、組織のデジタル攻撃対象範囲全体におけるエクスポージャーを特定、評価、軽減する取り組みです。 これは、想定されるアクセスポイントと攻撃ベクトルを理解し、それらが引き起こすリスクを優先順位付けし、最も深刻な脅威から保護するための措置を講じるということです。 その最大の目標は、実際のエクスポージャーを容認できるリスク水準に維持することです。

エクスポージャー管理は、脆弱性管理とどのように異なるのか？

エクスポージャー管理はより包括的で、リスクに基づくエクスポージャーの優先順位付けと特定された優先順位の高いエクスポージャーの検証を活用することで、組織のデジタル攻撃対象範囲全体を総合的に把握することができます。 サーバーやエンドポイント、モバイルデバイス、モノのインターネット（IoT）デバイス、ウェブサイトといった資産とそれらがもたらすエクスポージャーを完全に可視化します。 これには、ソフトウェアのエクスポージャー、パッチの欠落、設定ミス、強度の低いまたは危険にさらされた認証情報などが含まれます。

また、人間が関わるリスクに対処するため、セキュリティ意識向上トレーニングを定期的に実施し、従業員に潜在的な脅威とベストプラクティスについて教育することも含まれます。これには、セキュリティインシデントが発生した場合に従業員が従うべき明確な手順を定めたり、潜在的な脆弱性とセキュリティ対策について従業員の意見を求めたり、人的エラーを減らすための使いやすいセキュリティツールを設計したりといった取り組みがあります。

従来の脆弱性管理を超えて

脆弱性管理は、多くのサイバーセキュリティプログラムの基盤となってきました。 伝統的に、脆弱性管理の重点は、共通脆弱性評価システム（CVSS）のような標準化されたスコアリングシステムに基づいた、ソフトウェアのエクスポージャーおよび弱点の特定と優先順位付けにありました。

しかし、これによってITとサイバーセキュリティチームに与えられるのはリスクに関する狭い視点のみで、多大な労力を費やしているにもかかわらず、実質的な保護にはほど遠い結果しか得られない可能性があります。 脆弱性管理に本質的に伴う限界には、以下のようなものがあります：

• 限られた範囲：脆弱性管理は主に、オペレーティングシステムおよびサードパーティソフトウェアのエクスポージャーを対象とし、その他の種類の資産の脆弱性については対象としていません。 この結果、現代の組織はより広範囲にわたる脅威にさらされるという盲点が生じます。
• 誤ったエクスポージャーに焦点を当てている：CVSSに依存することで、チームが誤ったエクスポージャーに焦点を当ててしまう可能性もあります。これは、CVSSが脆弱性の深刻度（脆弱性がどの程度簡単に悪用される可能性があるか）を測定しますが、リスク（悪用された場合の影響の可能性）は測定しないからです。 これは、たとえ実質的なリスクがほとんど、あるいはまったくない場合でも、組織が深刻度レベルの高いエクスポージャーの修復を優先し、リスクが高くても深刻度レベルの低いものは見過ごす可能性があることを意味します。
• エクスポージャーが多すぎる：また、リスクベースのスコアリングシステムとは異なり、CVSSはしばしば多くのエクスポージャーを深刻なものと評価するため、チームが最小限の結果を得るために多くの労力を費やすことになります。 エクスポージャーの多くは、悪用される可能性はあっても、実際にはそうはなりません。 CVSSが、共通脆弱性識別子（CVEs）のみをスコア化する一方で、組織は設定ミスなど他のタイプにも対応する必要があり、CVSSに依存しすぎると、それらの見落としにつながる可能性があります。 米国国立脆弱性データベース（NVD）には、毎日10を超える（時には数百もの）新たな共通脆弱性識別子（CVE）が追加されていることからも、脆弱性管理では、それらの多くに適切に対処できない可能性があることは明らかです。
• 活動に基づく指標：従来の脆弱性管理では、解決までの平均時間（MTTR）やサービスレベルアグリーメント（SLA）の順守といった指標に基づいて成功を評価することが多くあります。 これらは、軽減または修復措置が適切なタイミングで実施されたかどうかを示すもので、セキュリティ対策に影響を与えたかどうかを示すものではありません。

時代遅れのアプローチが起こす問題

多額の損失を伴うセキュリティ侵害の多くが、すでに触れた脆弱性管理のギャップが原因で発生しています。 2013年に、サードパーティベンダーから盗まれたネットワーク認証情報が原因でハッカーがターゲット社のネットワークに侵入した際には、4,000万件のクレジットカードおよびデビットカードのアカウントが流出しました。 さらに最近では、ハッカーが米国の 水道事業と下水処理システムを、運用技術システムの一種であるプログラマブルロジックコントローラの脆弱性を悪用して標的にしました。

ベライゾン社によると、エクスポージャーを最初の足掛かりとした侵入は、2023年から2024年にかけてほぼ3倍に増加し、すべての侵入の14%を占め、パッチが適用されていないゼロデイエクスポージャーをターゲットにした攻撃の増加が原因となっています。

同じ調査によると、ITおよびセキュリティ専門家の95%が、AIによりセキュリティ脅威がより深刻化すると考えていることが分かりました。 それにもかかわらず、3分の1近くが、生成AIのもたらすリスクに対処するための戦略を何も持っていないのです。

企業経営者の多くは、自社がどれほど脆弱であるかについて、まだ認識していません。 Ivantiの調査によると、ITおよびセキュリティ専門家の55%が、IT関連以外のリーダーたちは脆弱性管理を理解していないと感じており、そのようなリーダーたちの47%が同意していることがわかりました。

また、調査対象となった企業のほぼ3分の2において、外部攻撃対象領域の管理（EASM）といった重要分野への投資がいまだ実現されていません。 EASMは、効果的なエクスポージャー管理にとって非常に重要です。それはEASMが、継続的にエクスポージャーを発見、評価、優先付けすることで、サイバー攻撃から保護するために必要な可視性を提供するからです。 インターネットに晒されている資産を特定・評価することで、EASMは組織がそのエクスポージャーの全体像を把握するのに役立ちます。 例えば、EASMツールは、セキュリティ領域外で動作しているシャドーITアプリケーションを検出して、攻撃ベクトルとなり得るものを創出したり、サードパーティのベンダーやサプライヤーのセキュリティリスクを明らかにしたりすることができます。

より包括的なアプローチ

2022年、ガートナー社は、継続的脅威エクスポージャー管理（CTEM）プログラムを導入する必要性を強調したレポートを発表しました。 このレポートには、統合的かつ反復的な積極的なアプローチにより、エクスポージャーを優先順位付けして修正し、セキュリティ対策を継続的に改善する方針が示されていました。

「完璧な」サイバーセキュリティの実現を目指すよりも、「必要十分」サイバーセキュリティの方がより現実的で達成可能であるという概念が提起されています。 これは、組織にとって脅威となり得るエクスポージャーを継続的に特定・優先順位付けすることで達成されます。

CTEMは、サイバーリスクを管理するための体制です。アメリカ国立標準技術研究所（NIST）のサイバーセキュリティフレームワーク（CSF）2.0や、インターネットセキュリティセンター（CIS）のコントロールバージョン8.1のような枠組みと捉えることができます。 継続的に特定、評価、検証、軽減を行うための確立されたプロセスです。 エクスポージャー管理はより広義の用語で、組織の資産全体に対するエクスポージャーの包括的な管理活動を指します。

多くのベンダーは、そのエクスポージャー管理ツールをCTEMに準拠させ、プロセスの各段階に特化したモジュールを提供しています。

以下は、エクスポージャー管理が活用する、脆弱性管理とは異なるアプローチです。

• 範囲の拡大：エクスポージャー管理は、ソフトウェアによるエクスポージャーだけでなく、より広範囲に対応し、脆弱な認証情報や効果的でないデータ損失防止の実装など、その他のエクスポージャも検出します。 また、設定ミスのある資産、安全でないクラウド環境、IoTデバイスを含む、リスクにさらされる可能性のある資産もカバーします。 それらすべてを監視して分析することで、組織は、リスク態勢の全体像をより明確かつ現実的に把握することができます。
• リスクベースの優先順位付け：エクスポージャー管理は、ビジネスにおける重要性、悪用される可能性、攻撃の可能性などの要素を評価し、組織にもたらす潜在的な影響に基づいてエクスポージャーを優先順位付けします。 これにより、リソースを最も深刻なリスクを軽減するために最初に割り当てることができます。
• 成果に基づく測定：エクスポージャー管理は、アクティビティに基づく指標から成果に基づく指標へと焦点を移します。 これは、組織のリスク態勢を向上させるうえでのサイバーセキュリティ対策の実際の有効性を測定し、リソースと防御を最適化するための実用的な洞察を提供します。

効果的なエクスポージャー管理のためのツールキット

エクスポージャー管理には、複数の層にまたがるアプローチで、さまざまなツールやテクニックを駆使することが不可欠です。 ある組織が具体的にどのようなものを使うかは、その組織のサイズや業種、リスクへの許容度によって異なります。

主に2つのカテゴリーに分類され、エクスポージャー評価とエクスポージャー検証に分かれます。

エクスポージャー評価ツール

• 外部攻撃対象領域の管理（EASM）：これらは特に外部からの攻撃対象領域に焦点を当てています：
  • 外部資産の特定：ウェブサイト、アプリケーション、クラウド資産など、インターネットに接するすべての資産を特定します。
  • エクスポージャーの検出：外部資産にある、悪用される可能性があるさまざまなエクスポージャーを特定します。
  • 攻撃パスの分析：一部の高度なソリューションは、潜在的な攻撃パスをシミュレートし、攻撃者がどのようにエクスポージャーを悪用するかを明らかにします。
  • ディープウェブの監視：ディープウェブおよびダークウェブをスキャンし、攻撃に使用される可能性のある流出した資産や漏洩した認証情報を特定します。
• サイバー資産アタックサーフェスマネージメント (CAASM)：これまでCAASMツールは、ITエコシステム全体の統一ビューを提供してきました。これは、社内外のすべての資産に関する「真実の唯一の情報源」であり、攻撃対象領域全体の統一ビューでした。 今日、CAASMの機能はますますEASMソリューションの一部となり、独立したCAASMツールの必要性がなくなってきています。
• リスクベースの脆弱性管理（RBVM）：RBVMツールは、従来の脆弱性管理の一歩上を行き、以下に基づいてエクスポージャーを優先順位付けします：
  • 悪用されやすさ：すでにアクティブに悪用されているかどうか。
  • ビジネスへの影響：この脆弱性が悪用された場合、組織にとってどのような影響があるか。

エクスポージャー検証プラットフォーム

これらは、エクスポージャーの優先順位付けの正確さを確保するために重要です：

• 侵入と攻撃のシミュレーション：これらは、現実世界の攻撃シナリオをシミュレートし、セキュリティ対策の有効性を検証し、潜在的な脆弱性を特定します。
• 継続的な自動化されたレッドチーミング：これらは、継続的なレッドチーム実習で、攻撃者の行動をシミュレートし、防御を継続的にテストします。
• サービスとしてのペネトレーションテスト（PTaaS）：PTaaSを利用することで、組織は外部のペネトレーションテスト業者の協力を得て、自社のセキュリティ対策に対して徹底した評価を実施することができます。

エクスポージャー管理の実施

脆弱性管理からエクスポージャー管理へと移行するには、詳細な戦略が必要です。 以下に、その主なステップをご紹介します：

• コラボレーションの枠組みを構築する：従来の脆弱性管理はしばしばサイロ化され、セキュリティチームが特定と優先順位付けを単独で担当し、その後、パッチを実施するIT部門に問題を丸投げするというものでした。 しかし、エクスポージャー管理はコラボレーションで効果を発揮しますので、次の3つの分野でそれを構築することから始めることが重要です：
  • 部門横断的なコラボレーション：セキュリティチームは、異なる事情部門と協働し、その重要なシステムとデータについて把握することが必要です。 例えば、電子商取引に関するニーズを理解することで、それに影響を及ぼす可能性のあるエクスポージャーへの優先順位付けをサポートし、ビジネスへの影響を考慮することで、リスク評価をより正確に行うことができます。
  • コミュニケーションの促進：IT運営と、パッチ適用やコード変更によりエクスポージャーを修正する開発者の間に良好なコミュニケーションを構築します。 ビジネスへの影響を理解してもらうことで、修正の必要性を主張しやすくなります。
  • 取締役レベルの関与：基本的な活動レベル（SLAおよびMTTR）を超える指標が不可欠です。 高度な指標をダッシュボードに可視化することで、リスク態勢が明確になり、セキュリティに関する専門知識のない取締役メンバーたちでも、セキュリティ対策の有効性とROIを認識することができます。
• リスク許容度の設定：組織はまず、リスク許容度を決定する必要があります。 これは、セキュリティ管理における投資と許容できる継続的なリスクレベルのバランスを取る、経営上の判断です。 これには、エクスポージャーへのパッチ適用、コードの修正、設定ミスの修整、その他のセキュリティ対策の実施、潜在的な事業中断にかかるコストを含める必要があります。 これらを、セキュリティー侵害によって生じる可能性のある金銭的および評判の低下による損害と比較して考慮する必要があります。 リスク許容度を判断するための標準化された計算ツールは存在しません。 これは、意思決定に必要な情報を提供するセキュリティ担当者と運営陣の双方が関わるべき、動的で必要な仕事です。
• スコーピング：評価が必要な資産とエクスポージャーを定義します。 これには、異なる事業部門と協力して、その重要なシステムとデータを理解することが必要かもしれません。
• 評価ツール：すでに導入済みであれば、その既存の脆弱性スキャナーを活用します。 しかし、より包括的な視点を得るには、インターネットにさらされている資産と潜在的なリスクを特定するEASMソリューションのような追加ツールの導入を検討しましょう。
• 優先順位付け：RBVMを統合して、脆弱性の深刻度、悪用されやすさ、潜在的なビジネスへの影響を組み合わせて、エクスポージャーの優先順位付けを行います。 これにより、最重要なリスクに最初に取り組むことができます。
• 検証：先入観によりバイアスが生じることがあるので、異なる検証ツールや実施方法を検討して、RBVMの優先順位付けの正確さを確保します。
• 継続的な改善：エクスポージャー管理は、一度きりの修正ではなく、継続的なものです。 定期的に現在の取り組みを評価し、改善することで、進化する脅威に先手を打ちましょう。

エクスポージャー管理の未来

事後対応型から事前対応型への戦略の転換が、今後のエクスポージャー管理の主流となるでしょう。 AIと自動化は脆弱性を予測し、修正措置を自動化し、脅威インテリジェンスプラットフォームとシームレスに統合するために必要不可欠なツールとなるでしょう。 社内では、組織は、よりスマートかつ効果的で効率的な意思決定を可能にするコラボレーションを促進し、新しいツールとプロセスを導入するでしょう。

この包括的なアプローチは、すでに不可欠であることが明らかになっているサプライチェーンのセキュリティにも広がるでしょう。 さらに、エクスポージャー管理は、進化する規制の枠組みに準拠するために、これまで以上に重要になるでしょう。

これらすべての要素を一貫したエクスポージャー管理プログラムに統合することで、企業は最も必要とされる時に、そのセキュリティ態勢を大きく改善させることができるでしょう。